この記事では、テストセットアップ のコントロールプレーン分析について説明します。 テスト セットアップの構成 とテスト セットアップのデータ プレーン分析 についてもご覧ください。
基本的に、コントロール プレーン分析では、1 つのトポロジ内の各ネットワーク間で交換されるルートを調べます。 コントロール プレーン分析は、ネットワークからのトポロジの見え方の違いを理解するのに役立ちます。
ハブ アンド スポーク仮想ネットワークパースペクティブ
次の図は、ハブ仮想ネットワーク とスポーク 仮想ネットワーク の視点からネットワークを表しています (青色で強調表示)。 この図はまた、各ネットワークの自律システム番号 (ASN) と、各ネットワーク間で交換されるルートを示しています。
仮想ネットワーク の Azure ExpressRoute ゲートウェイの AS 番号 が Microsoft Enterprise エッジ ルーター (MSEE) の AS 番号 と異なっています。 ExpressRoute ゲートウェイではプライベート ASN (値は 65515) が使用されているのに対し、MSEE ではパブリック ASN (値は 12076) がグローバルに使用されています。 ExpressRoute ピアリングを構成するときは、MSEE がピアとなるため、ピア ASN として 12076 を使用します。 Azure 側では、MSEE は ExpressRoute ゲートウェイとの間で eBGP ピアリングを確立します。 各 ExpressRoute ピアリング用に MSEE が確立するデュアル eBGP ピアリングは、コントロール プレーン レベルではトランスペアレントです。 そのため、ExpressRoute のルート テーブルを確認すると、仮想ネットワーク の ExpressRoute ゲートウェイの AS 番号 がその 仮想ネットワーク のプレフィックスとして表示されます。
次の図は ExpressRoute のルート テーブルの例を示しています。
Azure 内では、ASN はピアリングの視点からのみ重要です。 既定では、ExpressRoute ゲートウェイも、Azure VPN Gateway の VPN ゲートウェイも、ASN は 65515 です。
ExpressRoute 1 を経由するオンプレミスの場所 1 と リモート 仮想ネットワーク の視点
オンプレミスの場所 1 とリモート 仮想ネットワーク はどちらも、ExpressRoute 1 を介してハブ 仮想ネットワーク に接続されています。 次の図に示すように、両者は、このトポロジに対して同じ視点を共有しています。
サイト間 VPN を経由するオンプレミスの場所 1 とブランチ 仮想ネットワーク の視点
オンプレミスの場所 1 とブランチ 仮想ネットワーク はどちらも、サイト間 VPN 接続経由でハブ 仮想ネットワーク の VPN ゲートウェイに接続されています。 次の図に示すように、両者は、このトポロジに対して同じ視点を共有しています。
オンプレミスの場所 2 の視点
オンプレミスの場所 2 は、ExpressRoute 2 のプライベート ピアリング経由でハブ 仮想ネットワーク に接続されています:
ExpressRoute とサイト間 VPN 接続の併用
ExpressRoute 上のサイト間 VPN
ExpressRoute Microsoft ピアリングを使用してサイト間 VPN を構成することにより、オンプレミス ネットワークと Azure Virtual Networkの間でプライベートにデータを交換することができます。 この構成を使用すれば、機密性、信頼性、整合性が確保されたデータ交換を実現できます。 また、このデータ交換には、アンチリプレイ対策も講じられています。 ExpressRoute Microsoft ピアリングを使用してトンネル モードでサイト間 IPsec VPN を構成する方法の詳細については、ExpressRoute Microsoft ピアリングでのサイト間 VPN に関するページを参照してください。
Microsoft ピアリングを使用するサイト間 VPN 構成に伴う主な制限はスループットです。 IPsec トンネル上では、VPN ゲートウェイの容量によりスループットが制限されます。 VPN ゲートウェイのスループットは、ExpressRoute のスループットよりも低くなります。 このシナリオでは、高いセキュリティが要求されるトラフィックには IPsec トンネルを使用し、それ以外のすべてのトラフィックにはプライベート ピアリングを使用すると、ExpressRoute の帯域幅使用率の最適化に役立ちます。
ExpressRoute の安全なフェールオーバー パスとしてのサイト間 VPN
ExpressRoute は、高可用性を確保する冗長回線ペアの役割を果たします。 異なる Azure リージョンで geo 冗長 ExpressRoute 接続を構成することができます。 また、このテスト セットアップで紹介したとおり、Azure リージョン内でサイト間 VPN を使用して、ExpressRoute 接続のフェールオーバー パスを作成することができます。 ExpressRoute とサイト間 VPN の両方に同じプレフィックスがアドバタイズされた場合、Azure では ExpressRoute が優先されます。 ExpressRoute とサイト間 VPN の間で非対称なルーティングを回避するために、オンプレミス ネットワークも、ExpressRoute 接続をサイト間 VPN 接続よりも優先して使用するように構成する必要があります。
ExpressRoute とサイト間 VPN が共存する接続を構成する方法の詳細については、ExpressRoute とサイト間の共存に関するページを参照してください。
バックエンドの接続性をスポーク仮想ネットワークとブランチの場所に拡張する
仮想ネットワーク ピアリングを使用したスポーク仮想ネットワーク接続性
ハブ アンド スポークの仮想ネットワーク アーキテクチャは、広く利用されています。 ハブは、Azure 内の仮想ネットワークであり、スポーク仮想ネットワークとオンプレミス ネットワークをつなぐ接続性の中央拠点として機能します。 スポークはハブとピアリングする仮想ネットワークであり、ワークロードの分離に利用できます。 オンプレミスのデータセンターとハブとの間のトラフィックは、ExpressRoute または VPN 接続を経由して送信されます。 このアーキテクチャの詳細については、「Azure にハブスポーク ネットワーク トポロジを実装する」を参照してください。
リージョン内の仮想ネットワーク ピアリングでは、スポーク仮想ネットワークはハブ仮想ネットワーク ゲートウェイ (VPN と ExpressRoute ゲートウェイの両方) を使用してリモート ネットワークと通信できます。
サイト間 VPN を使用したブランチ仮想ネットワークの接続性
異なるリージョンにあるブランチ仮想ネットワークと、オンプレミス ネットワークを、ハブ仮想ネットワークを介して相互に通信させたい場合があります。 この構成に対する Azure のネイティブ ソリューションは、VPN を使用したサイト間 VPN 接続です。 その他に、ネットワーク仮想アプライアンス (NVA) をハブでのルーティングに使用する方法もあります。
詳細については、「VPN ゲートウェイとは」および高可用性 NVA のデプロイに関するページを参照してください。
次のステップ
テスト セットアップのデータ プレーン分析と Azure ネットワーク監視機能のビューを確認します。
「ExpressRoute の FAQ」を参照して以下を行います。
ExpressRoute ゲートウェイに接続できる ExpressRoute 回線の数について学習する。
ExpressRoute 回線に接続できる ExpressRoute ゲートウェイの数について学習する。
ExpressRoute のその他のスケールの制限について学習する。